網(wǎng)上一販賣信息者向記者表示，學(xué)習(xí)通數(shù)據(jù)單價為10元一人，購買整個數(shù)據(jù)庫需要3000元

6月21日，話題#學(xué)習(xí)通數(shù)據(jù)庫疑發(fā)生信息泄露#沖上微博熱搜。相關(guān)爆料信息顯示，大學(xué)生學(xué)習(xí)軟件“超星學(xué)習(xí)通”疑似出現(xiàn)數(shù)據(jù)庫泄露，被公開售賣的數(shù)據(jù)里包括姓名、性別、手機(jī)號、學(xué)校、學(xué)號等。

據(jù)了解，“超星學(xué)習(xí)通”系北京世紀(jì)超星信息技術(shù)發(fā)展有限責(zé)任公司開發(fā)運(yùn)營，是國內(nèi)高校中普及率較高的一款A(yù)PP。

但該軟件曾在2021年被國家工業(yè)和信息化部信息通信管理局通報，稱其涉及違規(guī)收集個人信息。此外，在國家信息安全漏洞共享平臺上，“超星學(xué)習(xí)通”APP也曾被指存在信息泄露漏洞，攻擊者可利用該漏洞獲取敏感信息。

6月21日，通過調(diào)查，紅星新聞記者在一個線上聊天頻道里發(fā)現(xiàn)，確實(shí)有多人在詢問學(xué)習(xí)通數(shù)據(jù)如何查詢，以及有用戶疑似正在販賣相關(guān)的數(shù)據(jù)信息“學(xué)習(xí)通數(shù)據(jù)單價為10元一人，購買整個數(shù)據(jù)庫需要3000元”。

對此，“超星學(xué)習(xí)通”方面回應(yīng)紅星新聞記者稱，相關(guān)事件正在核實(shí)，還沒有結(jié)果，“已經(jīng)報警處理?！?/p>

“超星學(xué)習(xí)通”發(fā)布的聲明

6月21日下午，學(xué)習(xí)通方面在微博上發(fā)布相關(guān)聲明，稱該公司在收到“疑似學(xué)習(xí)通APP用戶數(shù)據(jù)泄露”的反饋信息后，立即組織技術(shù)排查，目前排查工作已經(jīng)進(jìn)行了十余個小時，到目前為止還未發(fā)現(xiàn)明確的用戶信息泄露證據(jù)。鑒于事情重大，已經(jīng)向公安機(jī)關(guān)報案，公安機(jī)關(guān)已經(jīng)介入調(diào)查。

同時，該聲明還表示，學(xué)習(xí)通不存儲用戶明文密碼，采取單向加密存儲，理論上用戶密碼不會泄露，在這種技術(shù)手段下即使公司內(nèi)部員工（包括程序員）也無法獲得密碼明文。公司確認(rèn)網(wǎng)上傳言密碼泄露是不實(shí)的。

用戶數(shù)據(jù)被曝泄露

販賣者稱3000元可買整個數(shù)據(jù)庫資料

6月20日晚，一微博網(wǎng)友爆料稱，“據(jù)安全行業(yè)業(yè)界內(nèi)消息，大學(xué)生學(xué)習(xí)軟件‘超星學(xué)習(xí)通’被曝出現(xiàn)數(shù)據(jù)庫泄露，被公開售賣，里面的數(shù)據(jù)包括姓名、性別、手機(jī)號、學(xué)校、學(xué)號等學(xué)生信息1億7千萬條?！辈痪茫嘘P(guān)“學(xué)習(xí)通數(shù)據(jù)庫疑發(fā)生信息泄露”的話題便引發(fā)網(wǎng)友廣泛關(guān)注與討論。

網(wǎng)友的爆料截圖

有網(wǎng)友表示，其早在使用之初就曾擔(dān)心過個人信息安全，但因該軟件系學(xué)校推薦使用的，便未作過多猜測，“但學(xué)習(xí)通向用戶索要了很多權(quán)限，不僅需要用戶提供真實(shí)的姓名與身份證號，還會因各種需要強(qiáng)制要求用戶打開麥克風(fēng)、視頻、定位等手機(jī)權(quán)限。”也有使用者表示，自己一直很注意網(wǎng)上的信息安全，但近期還是接到了許多騷擾電話。

網(wǎng)友曬出的“超星學(xué)習(xí)通”獲取的手機(jī)權(quán)限

據(jù)了解，“超星學(xué)習(xí)通”是國內(nèi)高校中普及率較高的一款A(yù)PP，用戶可在該款A(yù)PP上實(shí)現(xiàn)上課、考試等多個服務(wù)。也因此，該軟件所針對的受眾群體多為高校師生。

6月21日，紅星新聞記者通過多種渠道進(jìn)入到網(wǎng)傳疑似泄露學(xué)習(xí)通用戶個人信息的在線聊天頻道，發(fā)現(xiàn)里面有多人正在詢問學(xué)習(xí)通數(shù)據(jù)如何查詢。同時，也確實(shí)有用戶疑似正在販賣相關(guān)的數(shù)據(jù)信息。

一網(wǎng)名為“無名滲透”的用戶公開留言表示，可以代查學(xué)習(xí)通的賬號密碼以及身份證號

在該聊天頻道，紅星新聞記者看到，一網(wǎng)名為“無名滲透”的用戶公開留言表示，自己可以代查學(xué)習(xí)通的賬號密碼以及身份證號。當(dāng)記者私信其表示想要代查學(xué)習(xí)通相關(guān)信息的用戶時，對方則表示“學(xué)習(xí)通數(shù)據(jù)單價為10元一人，購買整個數(shù)據(jù)庫需要3000元”。

此外，紅星新聞記者還在該聊天頻道看到一條來源疑為“超星個人網(wǎng)”的學(xué)生個人信息。根據(jù)上面泄露出的姓名與手機(jī)號碼，記者聯(lián)系到了當(dāng)事人武小姐。她向記者確認(rèn)了泄露信息中內(nèi)容的真實(shí)性，“我的確在學(xué)習(xí)通上面登記過姓名、手機(jī)、QQ號等相關(guān)信息?！蓖瑫r，武小姐表示，因自己的學(xué)號與“超星個人網(wǎng)”的工號是獨(dú)一無二的，不可能在其他注冊過的平臺出現(xiàn)，因此懷疑自己被泄露在網(wǎng)上的信息系從“超星學(xué)習(xí)通”上流出。

21日中午12時許，紅星新聞記者注意到，在前述聊天頻道里，有頻道負(fù)責(zé)人發(fā)布了一條關(guān)于“超星學(xué)習(xí)通”泄露事件的說明。其中提到，泄漏內(nèi)容包含手機(jī)號碼、郵箱、姓名及就讀信息，部分還包含年級、班級、明文密碼等信息。該負(fù)責(zé)人提醒，該頻道從未出售任何數(shù)據(jù)，在校學(xué)生不要試圖購買或出售此數(shù)據(jù)，以防上當(dāng)受騙。

相關(guān)聊天頻道里，某頻道負(fù)責(zé)人發(fā)布了一條關(guān)于“超星學(xué)習(xí)通”泄露事件的說明

而在該份說明附帶的泄露學(xué)校列表里，記者發(fā)現(xiàn)，疑似此次學(xué)習(xí)通數(shù)據(jù)庫泄露涉及的學(xué)校數(shù)量眾多，不僅包括全國各地的高等院校，還涉及多個幼兒園、中小學(xué)等教育機(jī)構(gòu)。

對此，紅星新聞記者撥打了學(xué)習(xí)通平臺上的客服熱線電話。相關(guān)工作人員表示，有關(guān)網(wǎng)傳的數(shù)據(jù)庫疑發(fā)生信息泄露事件正在核實(shí)，還沒有結(jié)果。而學(xué)習(xí)通所屬的北京世紀(jì)超星信息技術(shù)發(fā)展有限責(zé)任公司一位工作人員也向紅星新聞確認(rèn)，該公司目前在調(diào)查相關(guān)情況，且已經(jīng)報警處理。

曾被通報侵害用戶權(quán)益

被指違規(guī)收集個人信息有安全漏洞

公開資料顯示，“超星學(xué)習(xí)通”系北京世紀(jì)超星信息技術(shù)發(fā)展有限責(zé)任公司開發(fā)運(yùn)營，是基于微服務(wù)架構(gòu)打造的課程學(xué)習(xí)、知識傳播與管理分享平臺。北京世紀(jì)超星信息技術(shù)發(fā)展有限責(zé)任公司則是一家數(shù)字圖書館解決方案提供商和數(shù)字圖書資源提供商，擁有全國最大的圖書數(shù)字化加工中心。

天眼查顯示，北京世紀(jì)超星信息技術(shù)發(fā)展有限責(zé)任公司成立于2000年1月27日，注冊資本為3000萬人民幣，法定代表人為付國明，經(jīng)營范圍包括技術(shù)開發(fā)、技術(shù)推廣、技術(shù)咨詢、技術(shù)服務(wù)；銷售計算機(jī)、軟件及輔助設(shè)備等。在其客戶一欄上，記者看到，該公司近年來有上百名客戶，多以國內(nèi)各大高等院校為主。通過進(jìn)一步查看其相關(guān)的招投標(biāo)公告，記者發(fā)現(xiàn)，多個高校與其合作的項目為建設(shè)在線網(wǎng)絡(luò)學(xué)習(xí)平臺或網(wǎng)絡(luò)教學(xué)一體化服務(wù)平臺。

而通過注冊學(xué)習(xí)通用戶賬號，紅星新聞記者則發(fā)現(xiàn)，新用戶在注冊前須閱讀并同意學(xué)習(xí)通的《隱私政策》和《用戶協(xié)議》。其中，《隱私政策》里表示，學(xué)習(xí)通提供服務(wù)時，可能會收集、儲存和使用用戶的手機(jī)號碼、個人姓名、登錄賬號（學(xué)號/工號）、位置權(quán)限、基于攝像頭（相機(jī)）的附加功能、基于圖片上傳的附加功能、基于語音技術(shù)的附加功能、查看WLAN狀態(tài)、讀取SD卡、監(jiān)聽手機(jī)通話狀態(tài)、懸浮窗權(quán)限、藍(lán)牙權(quán)限、GET TASKS權(quán)限、設(shè)備信息、軟件信息等。

值得注意的是，該《隱私政策》里表明，為保障學(xué)習(xí)通APP的穩(wěn)定運(yùn)行或?qū)崿F(xiàn)相關(guān)功能，其可能會接入由第三方提供的軟件開發(fā)包（SDK）實(shí)現(xiàn)前述目的。其接入的部分第三方SDK可能涉及收集用戶信息，向用戶提供服務(wù)。但其會評估該第三方手機(jī)信息的合法性、正當(dāng)性、必要性，要求第三方對用戶的信息采取保護(hù)措施，并且嚴(yán)格遵守相關(guān)法律法規(guī)與監(jiān)管要求。

通過檢索關(guān)鍵詞，紅星新聞記者發(fā)現(xiàn)，在國家信息安全漏洞共享平臺上，“超星學(xué)習(xí)通”APP曾被指存在信息泄露漏洞，攻擊者可利用該漏洞獲取敏感信息。

在國家信息安全漏洞共享平臺上，超星學(xué)習(xí)通App曾被指存在信息泄露漏洞

此外，去年1月22日，中華人民共和國工業(yè)和信息化部曾通報的一批關(guān)于侵害用戶權(quán)益行為APP中，由北京世紀(jì)超星信息技術(shù)發(fā)展有限責(zé)任公司開發(fā)的“學(xué)習(xí)通”也被指出涉及違規(guī)收集個人信息。

“就目前的信息來看，學(xué)習(xí)通用戶被泄露的信息多是姓名、電話、身份證號等內(nèi)容?！币幻麖氖萝浖_發(fā)的程序員告訴紅星新聞記者，因網(wǎng)貸公司、房產(chǎn)公司等想要獲得廣泛的客戶資源，具有精準(zhǔn)性的“人名+電話號碼”的個人信息是他們最需要的資源，所以目前互聯(lián)網(wǎng)市場上被販賣最多的個人信息就是電話號碼。

該程序員還說，因互聯(lián)網(wǎng)技術(shù)的不斷發(fā)展，想要獲取一個人在網(wǎng)上的個人信息有多種途徑，“除開軟件運(yùn)營商違規(guī)操作外，還有可能是不法分子通過網(wǎng)絡(luò)技術(shù)入侵?jǐn)?shù)據(jù)庫，或用戶自己不小心瀏覽了來歷不明的鏈接，因鏈接上的木馬病毒導(dǎo)致信息泄露?！币虼耍摮绦騿T提醒，用戶在日常上網(wǎng)時一定要謹(jǐn)慎小心，仔細(xì)甄別各類網(wǎng)絡(luò)鏈接，“來路不明的鏈接不要點(diǎn)擊，沒有安全認(rèn)證的網(wǎng)站也不要瀏覽?！?/p>